Faille critique dans libssh2 🚨, cyberattaques d'État sur les réseaux d'eau 💧, SimpleHelp vulnérable au malware Djinn Stealer 🔓
• 3 minutes de lectureBonjour, voici ta veille Cybere du 30 juin 2026 !
L'actualité du jour frappe à trois niveaux : une bibliothèque SSH critique, des réseaux d'eau exposés par des failles basiques, un outil d'administration détourné. Le point commun : des composants de confiance, peu surveillés, devenus des portes d'entrée.
Retrouve les trois articles à la une du jour :
- Une preuve de concept publique exploite une faille critique dans libssh2, bibliothèque SSH embarquée dans curl, Git et PHP
- L'Iran, la Russie et la Chine ciblent les systèmes d'eau via des failles d'authentification basiques
- Une faille critique dans SimpleHelp permet aux attaquants de déployer le malware Djinn Stealer
Preuve de concept publique pour la CVE-2026-55200 affectant libssh2
Une preuve de concept publique circule pour la CVE-2026-55200, une faille critique dans libssh2 permettant à un serveur SSH malveillant de corrompre la mémoire d'un client en connexion sans authentification ni interaction. La vulnérabilité, affectant les versions jusqu'à 1.11.1 avec un score CVSS de 9.2, repose sur un débordement d'entier dans ssh2_transport_read(). Le PoC publié reste un banc de test local, pas un exploit distant prêt à l'emploi.
libssh2 est une bibliothèque client embarquée dans curl, Git, PHP et de nombreux outils système, dont les copies statiques échappent aux gestionnaires de paquets. Aucune version officielle corrigée n'est disponible, mais les distributions comme Debian proposent déjà des versions corrigées en test. À noter : libssh2 avait déjà subi un débordement d'entier quasi identique en 2019 (CVE-2019-3855), dans la même fonction, sept ans plus tard la même classe de bug revient dans le même code.
Points d'attention
- Inventorier tous les binaires liés à libssh2, y compris les copies statiques que les gestionnaires de paquets ne détectent pas.
- Surveiller les mises à jour de sécurité de sa distribution (le correctif est déjà disponible chez Debian en test) et l'appliquer dès que disponible.
- Restreindre les connexions SSH sortantes à des serveurs de confiance jusqu'au déploiement des correctifs.
Systèmes d'eau ciblés par l'Iran, la Russie et la Chine
L'Iran, la Russie et la Chine exploitent des failles élémentaires dans les systèmes de contrôle des eaux pour accéder aux infrastructures critiques, selon une analyse de DomainTools publiée le 25 juin 2026.
Les trois nations utilisent des tactiques distinctes : l'Iran privilégie l'accès opportuniste aux automates programmables exposés à des fins de propagande, la Russie teste directement les systèmes de contrôle pour générer de la peur, et la Chine prépositionne des accès durables via Volt Typhoon en cas de conflit futur. Les vecteurs d'attaque restent basiques : identifiants faibles, interfaces homme-machine mal sécurisées, outils d'accès à distance non protégés et segmentation IT/OT insuffisante. Dans tous les cas, l'objectif est avant tout psychologique et politique, pas l'atteinte directe aux populations.
Points d'attention
- Les attaquants contournent les systèmes sans malware personnalisé, exploitant uniquement des défauts d'architecture et de configuration.
- En 2025, les autorités norvégiennes ont imputé à la Russie une attaque ayant provoqué le débordement d'une écluse, déversant 400 litres d'eau par seconde pendant quatre heures.
- Les défenses essentielles restent ignorées : mots de passe robustes, interfaces homme-machine isolées, surveillance adaptée à la sécurité OT.
Une faille critique dans SimpleHelp expose les accès administrateur
Des attaquants exploitent la CVE-2026-48558, une vulnérabilité critique de contournement d'authentification dans la plateforme SimpleHelp, utilisée par plus de 6 000 organisations, pour déployer le malware Djinn Stealer. L'enquête est menée par les chercheurs de Blackpoint Cyber, sans attribution à un groupe connu à ce stade.
Après avoir contourné l'authentification, les attaquants installent TaskWeaver, un chargeur JavaScript obfusqué déguisé en fichier anodin. Le malware recueille ensuite des identifiants cloud, clés SSH, clés API et secrets d'infrastructure avant chiffrement AES-256-GCM et exfiltration, le serveur C2 se faisant passer pour Microsoft Dev Tunnels pour se fondre dans le trafic légitime.
Points d'attention
- Djinn Stealer cible spécifiquement les identifiants de développeurs pour Claude, Gemini, Codex et autres outils IA modernes utilisant le protocole MCP.
- Un attaquant possédant ces identifiants pourrait accéder aux données et à l'infrastructure cloud avec les privilèges du développeur ou de l'agent IA associé.
- La campagne vise les systèmes administratifs et de développement pour amplifier l'impact d'une compromission unique, notamment en ciblant les registres de paquets (npm, PyPI, NuGet) pour des attaques potentielles de la chaîne d'approvisionnement.
Autres actus importantes
- 236 000 sites DCloud Uni-App utilisés dans des arnaques crypto, du phishing et des drainages de portefeuilles
- DarkMoon : plateforme open-source de pentest IA
- Multiples vulnérabilités dans KeyCloak (29 juin 2026)
- Des failles de sécurité exposent des données confidentielles dans les systèmes du gouvernement indien
Merci d'avoir pris le temps de me lire. Si tu as trouvé cette newsletter utile, n'hésite pas à la partager autour de toi ✉️
À demain pour la prochaine veille 🔐 – Kilian de Cybere